CyberArk Softwareはこのほど、「CircleCI Breach Exposes Risk of Hard-coded Secrets」において、CircleCIの情報漏洩事件により、ハードコードされた機密情報のリスクが露呈したと伝えた。今年始めに発覚したCircleCIへの侵害により、GitHubのプライベートコードリポジトリ、スクリプト、設定ファイル、暗号化ファイル、継続的インテグレーション/継続的デプロイ(CI: Continuous Integration/CD: Continuous Deployment)パイプラインコードなど、セキュリティ対策が容易に行えない場所に機密情報を保持するリスクが浮き彫りになったと述べられている。

  • CircleCI Breach Exposes Risk of Hard-coded Secrets

    CircleCI Breach Exposes Risk of Hard-coded Secrets

CircleCIは100万人以上のユーザーを抱える、CICDプラットフォームのフラグシップカンパニー。最近、CircleCIはセキュリティ侵害を受けたため、保存されているあらゆる機密情報を直ちにローテーションすることや不正なアクセスがないかシステムの内部ログを確認することを顧客に提案している。

有効な認証情報を長期間CircleCIに保存しないようにすることも助言されており、さらに侵害の影響を受けた組織に対してSaaSベンダーやクラウドプロバイダーに対して疑わしい動きがないかを確認することが勧められている。

ここでいう機密情報は、パスワード、SSHキー、APIキー、あるいは保護されたリソースへのアクセスを許可するユーザー情報などの認証情報とされており、ユーザー以外のIDに会社の機密リソースへの高度な特権的アクセスを与えるものとされている。

CyberArk SoftwareはCircleCIの事件に限らず、アプリケーションコード、スクリプト、設定ファイルなどのセキュリティインシデント時にすぐにローテーションできないハードコードされた静的な場所に機密情報を直接埋め込むべきではないと指摘している。機密情報が漏洩した場合、攻撃者は非ユーザーIDになりすまし、特権エスカレーションを行ってサイバー攻撃を拡大させると警告している。

CyberArk Softwareは、サイバーセキュリティの脅威が絶えない中、企業はリスクと潜在的なリスクを軽減するために機密情報をコントロールすることに集中することが重要と説明している。ゼロトラストセキュリティの考えを導入することが不可欠とされており、すべてのIDと機密情報をサイバー攻撃から保護するためのセキュリティ対策を実施することが望まれている。